In de recente rapportage van de Autoriteit persoonsgegevens komt naar voren dat het aantal datalekken als gevolg van het onjuist versturen van e-mails nog steeds zorgwekkend hoog is. Ongeveer 16% van alle datalekken ontstaat doordat persoonsgegevens worden verstuurd naar de verkeerde ontvanger of doordat een e-mail wordt verstuurd met ontvangers in het "aan"-veld of de cc. Hoewel de impact van een datalek door het onjuist versturen van een e-mail kan variëren, blijft het een incident dat gemeld moet worden.
Onlangs heb ik zelf nog een situatie meegemaakt waarbij een school een e-mail stuurde over een betaling, maar in de plaats daarvan de ganse klasselijst van alle klassen in deze school doorstuurde in bijlage. De impact van dergelijke datalekken kan echter veel verder gaan.
Een moment van onoplettendheid en een fout is zo gemaakt.
De kracht van user awareness
User awareness is natuurlijk onmisbaar om gebruikers bewust te maken van de risico’s van datalekken bij het versturen van e-mails. Leer hen gevoelige informatie te identificeren en te begrijpen welke gegevens wel en niet via e-mail gedeeld mogen worden. Laat hen de persoonlijke en zakelijke gevolgen van datalekken inzien en maak hen vertrouwd met het beleid dat binnen de organisatie geldt. Geef ze daarbij de handvatten en tools die ze nodig hebben om deze kennis in de praktijk te brengen.
Een andere goede aanpak in het creëren van bewustzijn is het behandelen van casestudy’s van eerdere datalekken met ernstige gevolgen door onjuist e-mailgebruik. Deze praktijksituaties creëren een dieper begrip van de impact van datalekken en de noodzaak om veiligheidsbewuste keuzes te maken.
Een gegevensinbreuk melden
Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
De melding van een gegevensinbreuk vindt plaats via het GBA-portaal, waar u als verwerkingsverantwoordelijke een gegevensinbreuk kunt melden en beheren.
